新信息安全意識培訓課件

員工信息安全意識培訓時間：2015年08月19日

*1員工信息安全意識培訓*1今日議題一、信息安全相關概念二、信息安全問題產(chǎn)生的根源三、如何保障信息系統(tǒng)安全*2今日議題一、信息安全相關概念二、信息安全問首先讓我們先來了解三個概念1）什么是信息？2）什么是安全？3）什么是信息安全？一、信息安全相關概念*3首先讓我們先來了解三個概念1）什么是信息？一、信息安全相關概1、什么是信息？

信息是信息論中的一個術語，常常把消息中有意義的內(nèi)容稱為信息。

1948年，美國數(shù)學家、信息論的創(chuàng)始人仙農(nóng)在題為“通訊的數(shù)學理論”的論文中指出：“信息是用來消除隨機不定性的東西”。信息一般有4種形態(tài)：

一、信息安全相關概念*41、什么是信息？信息是信息論中的一個術語，常常文本聲音圖像數(shù)據(jù)信息的4種形態(tài)：*5文本聲音圖像數(shù)據(jù)信息的4種形態(tài)：*51、什么是信息？——我們平常接觸到的信息一、信息安全相關概念*61、什么是信息？——我們平常接觸到的信息一、信息安全相關概念什么是信息？信息是有價值的符號、數(shù)據(jù)、圖片和語音，它能夠被企業(yè)創(chuàng)建、使用、處理、存儲及傳輸。信息是必須依賴介質(zhì)存在。對企業(yè)具有價值的信息，稱為信息資產(chǎn)。*7什么是信息？*7電子信息物理信息人的記憶

（經(jīng)驗）紙張信息信息存儲在何處？*8電子信息物理信息人的記憶

（經(jīng)驗）紙張信息信息存儲在何處？**9信息生命周期創(chuàng)建傳遞銷毀存儲使用更改*9信息生命周期創(chuàng)建傳遞銷毀存儲使用更改一、信息安全相關概念信息具有以下屬性：基本元素是數(shù)據(jù)，每個數(shù)據(jù)代表某個意義；數(shù)據(jù)具有一定的邏輯關系；需要適當?shù)谋Ｗo；以各種形式存在：紙、電子形式、影片、交談等；具有一定的時效性；對組織具有價值，是一種資產(chǎn)。知識信息數(shù)據(jù)指導意義抽象程度*10一、信息安全相關概念信息具有以下屬性：知識信息數(shù)據(jù)指導抽象*一、信息安全相關概念信息和其它資產(chǎn)一樣是具有價值的*11一、信息安全相關概念信息和其它資產(chǎn)一樣*112、什么是安全？一、信息安全相關概念安全就是沒有危險；不受威脅；不出事故。安全與我們的工作生活，甚至于生命息息相關：安全駕駛、安全用電、交通安全、消防安全等。*122、什么是安全？一、信息安全相關概念安全就是沒有危險；不受威水災交通事故街頭搶劫火災我們身邊有哪些安全問題？*13水災交通事故街頭搶劫火災我們身邊有哪些安全問題？*132、什么是安全？一、信息安全相關概念*142、什么是安全？一、信息安全相關概念*14思考題：在我們工作和的生活中，你遇到過哪些不安全的現(xiàn)象，有過哪些不安全的做法？一、信息安全相關概念*15思考題：一、信息安全相關概念*15一、信息安全相關概念上網(wǎng)正在興頭上時，突然IE窗口不停地打開，最后直到資源耗盡死機；身邊朋友的QQ號被盜，雖然最后費盡周折，利用密碼保護找回了自己心愛的QQ號，但是里面的好友和群全部被刪除；想通過U盤把連夜加班的資料拷貝到單位電腦上，可插入U盤后里面空空如也，一晚上的工作付之東流；某一天下著大雨，突然“霹靂”一聲，電腦突然斷線了，經(jīng)查是上網(wǎng)用的adslmodem被擊壞了。

*16一、信息安全相關概念上網(wǎng)正在興頭上時，突然IE窗口不信息安全，就是保證信息的保密性、完整性和可用性。保密性：確保信息不被非授權的個人、組織和計算機程序使用完整性：確保信息沒有被篡改和破壞可用性：確保擁有授權的用戶或程序可以及時、正常使用信息*173什么是信息安全？信息安全，就是保證信息的保密性、完整性和可用性。*173一、信息安全相關概念案例1

傳統(tǒng)工藝品景泰藍的生產(chǎn)技術一直是我國獨有的，多少年來暢銷世界各國為國家賺了很多外匯。

有一家日本企業(yè)看著眼紅，想著心動，摸著手癢，使了不少明招暗招陰招狠招，都沒管用，于是找來素有愛國華僑稱號的一個人，請他到中國以參觀為名把景泰藍生產(chǎn)技術偷出來，事前先給了他一大筆錢，事成之后再給一大筆錢。

*18一、信息安全相關概念案例1*18一、信息安全相關概念案例1這個華僑，面對大筆金錢的誘惑，經(jīng)過一番思想斗爭后，最終還是答應了。

華僑到了景泰藍廠，受到熱情歡迎，廠長親自陪同，破例讓他參觀了景泰藍的全部生產(chǎn)過程。

華僑又是記錄又是拍照，把景泰藍生產(chǎn)技術弄了個一清二楚。

廠里的人看到華僑這樣做也有些懷疑，向廠長提出來是不是注意一下。

廠長說人家是著名愛國華僑，要是有個三差兩錯，可是破壞統(tǒng)一戰(zhàn)線的大事，別瞎懷疑了。*19一、信息安全相關概念案例1*19一、信息安全相關概念案例1大家伙做夢也不會想到，這么個一本正經(jīng)滿臉堆笑的貴客，卻是個地地道道的工業(yè)間諜，是外國第一個竊取景泰藍生產(chǎn)技術的人。

從此，景泰藍的生產(chǎn)就在日本開始了。這個案例給了我們怎樣的啟示？*20一、信息安全相關概念案例1這個案例給了我們怎樣的啟示？*20一、信息安全相關概念保密！不該知道的人，不要讓他知道！保證信息的機密性是很重要的：確保重要信息沒有非授權的泄漏，不被非授權的個人、組織和計算機程序使用。*21一、信息安全相關概念保密！不該知道的人，保證信息的機密性是很案例1

有十個人，兩兩傳遞一句話，“我告訴你一句話！”傳到第十個人那里的時候，可能聽到的是這樣的，“火車什么時候出發(fā)？”這說明什么問題呢？耳提面命，兩兩傳遞，語言會失真！一句同樣的話，經(jīng)過十個人，九次傳遞，面目全非。為什么謠言是最不可信的？因為它經(jīng)過了很多人的傳遞后，融入了很多個人的理解和感情因素，改變了事情的本來面目。一、信息安全相關概念*22案例1一、信息安全相關概念*22一、信息安全相關概念案例2

別人告訴你個事，說：

1、“前面有個人！”——非常含糊！

2、“前面有個男人！”——更具體！

3、“前面有個老人，是個男的！”——更具體！

4、“前面有個老頭，是個盲人！”——更具體！

5、“前面有個老頭，是個盲人！迷路了！”——更具體！

6、“前面有個老頭，是個盲人！迷路了！需要幫助！”——更具體！

7、“前面有個老頭，是個盲人！迷路了！有個警察把他送回家了！”——非常具體！在大多數(shù)情況下，我們聽到的和事情的本質(zhì)，是存在非常大的差異的！完整的表述，可以再現(xiàn)事物的原貌。*23一、信息安全相關概念案例2*23一、信息安全相關概念以上兩個案例給了我們怎樣的啟示？*24一、信息安全相關概念以上兩個案例給了我們怎樣的啟示？*24一、信息安全相關概念完整！信息不能追求殘缺美！完整性：確保信息沒有遭到篡改和破壞*25一、信息安全相關概念完整！信息不能追求殘缺美！完整性：確保信案例1一、信息安全相關概念

背景介紹：它是20世紀最大的登陸戰(zhàn)役，也是戰(zhàn)爭史上最有影響的登陸戰(zhàn)役之一。盟軍先后調(diào)集了36個師，總兵力達288萬人，其中陸軍有153萬人，相當于20世紀末美國的全部軍隊。從1944年6月6日至7月初，美國、英國、加拿大的百萬軍隊，17萬輛車輛，60萬噸各類補給品，成功地渡過了英吉利海峽。到7月24日，戰(zhàn)爭雙方約有24萬人被殲滅，其中盟軍傷亡12.2萬人，德軍傷亡和被俘11.4萬人。至8月底，盟軍一共消滅或重創(chuàng)德軍40個師，德軍的3名元帥和1名集團軍司令先后被撤職或離職，擊斃和俘虜?shù)萝娂瘓F軍司令、軍長、師長等高級將領20人，繳獲和摧毀德軍的各種火炮3000多門，摧毀戰(zhàn)車1000多輛。德軍損失飛機3500架，坦克1.3萬輛，各種車輛2萬輛，人員40萬。這次登陸戰(zhàn)役的成功，使美英軍隊得以重返歐洲大陸，第二次世界大戰(zhàn)的戰(zhàn)略態(tài)勢發(fā)生了根本性變化。*26案例1一、信息安全相關概念背景介紹：它是20世案例1一、信息安全相關概念諾曼底登陸*27案例1一、信息安全相關概念諾曼底登陸*27案例1:諾曼底登陸為什么能夠取得成功？它又帶給我們怎樣的思考？一、信息安全相關概念戰(zhàn)略欺騙盟軍用錯誤的信息，使得德軍統(tǒng)帥部判斷錯誤，不僅保障了登陸作戰(zhàn)的突然性，還保證了戰(zhàn)役順利進行，對整個戰(zhàn)役具有重大影響。盟軍通過?？哲姷淖坑谐尚У难饎?，成功運用了雙重特工、電子干擾，以及在英國東南部地區(qū)偽裝部隊及船只的集結(jié)等一系列措施，還讓巴頓將軍在英國進行戰(zhàn)前演說，再加上嚴格的保密措施，使德軍統(tǒng)帥部在很長時間里對盟軍登陸地點、時間都作出了錯誤判斷，以為盟軍將在諾曼底東北方的加萊海灘登陸，甚至在盟軍諾曼底登陸后仍認為是牽制性的佯攻，這就導致了德軍在西線的大部分兵力、武器被浪費在加萊地區(qū)，而在諾曼底則因兵力單薄無法抵御盟軍的登陸。同時，還找到一個和蒙哥馬利長得極像的叫詹姆斯的人在北非冒充蒙哥馬利，使得隆美爾以為蒙哥馬利一直在北非。*28案例1:諾曼底登陸為什么能夠取得成功？它又帶給我們怎樣的思考一、信息安全相關概念可用！可用性：確保擁有授權的用戶或程序可以及時、正常使用信息。*29一、信息安全相關概念可用！可用性：確保擁有授權的用戶或程序可信息安全的實質(zhì)*30采取措施保護信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務造成的影響減到最小，確保組織業(yè)務運行的連續(xù)性?！裟鼙ＷC企業(yè)的業(yè)務活動穩(wěn)定有效的運作（對內(nèi)）◆提高客戶信心及滿意度（對外）滿意度業(yè)務運作信息安全的實質(zhì)*30采取措施保護信息資產(chǎn)，使之不因偶今日議題一、信息安全相關概念二、信息安全問題產(chǎn)生的根源三、如何保障信息系統(tǒng)安全*31今日議題一、信息安全相關概念二、信息安全問二、信息安全問題產(chǎn)生的根源為什么需要保護信息？信息安全面臨著哪些威脅？*32二、信息安全問題產(chǎn)生的根源為什么需要保護信息？*32人是復雜的，“威脅”時刻存在為什么需要保護信息？*33人是復雜的，“威脅”時刻存在為什么需要保護信息？*33“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術、防火墻、入侵檢測系統(tǒng)、生物鑒別設備，可只要有人給毫無戒心的員工打個電話……”

——凱文米特尼克*34“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術、防火為什么需要保護信息？序號類別\特點危害性竊密性1計算機病毒電腦崩潰、破壞文件不竊密2蠕蟲消耗CPU與網(wǎng)絡資源不竊密3木馬完全控制遠程電腦竊密4間諜軟件竊取密碼、個人信息竊密5網(wǎng)絡釣魚竊取網(wǎng)銀賬戶信息與密碼竊密6僵尸網(wǎng)絡網(wǎng)絡軍隊：完全控制遠程電腦竊取密碼、垃圾郵件、DDoS攻擊竊密“病毒與惡意代碼”危害嚴重*35為什么需要保護信息？序號類別\特點危害性竊密性1計算機病毒電信息是“重要資產(chǎn)”，能夠提高效率、降低成本、增強核心競爭力，創(chuàng)造利潤。為什么需要保護信息？*36裝有100萬的保險箱需要3個悍匪、公司損失：100萬裝有客戶信息的電腦只要1個商業(yè)間諜、1個U盤，就能偷走。公司損失：所有客戶！1輛車，才能偷走。信息是“重要資產(chǎn)”，能夠提高效率、降低成本、為什么需要保護信信息安全的主要威脅1：（病毒、木馬）*37信息安全的主要威脅1：（病毒、木馬）*37信息安全的主要威脅2：（黑客行為）當前黑客的特點：目前黑客襲擊不再是一種個人興趣，而是越來越多的變成一種有組織的、利益驅(qū)使的職業(yè)犯罪；主要針對的是高價值的目標；黑客控制病毒不再安于破壞系統(tǒng)，銷毀數(shù)據(jù)，而是更關注財產(chǎn)和隱私。*38信息安全的主要威脅2：（黑客行為）當前黑客的特點：*38信息安全的主要威脅3：（惡意軟件、垃圾郵件）強制安裝難以卸載瀏覽器劫持廣告彈出惡意收集用戶信息惡意卸載惡意捆綁其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。*39惡意軟件8大特征信息安全的主要威脅3：（惡意軟件、垃圾郵件）強制安裝*39惡信息安全的主要威脅4：（人為因素）*40人為錯誤，比如使用不當，安全意識差等，操作不當或安全意識差將引起如下一些錯誤：

安裝或使用不明來源的軟件；隨意開啟來歷不明的電子郵件；向他人披露個人密碼；不注意保密單位或者個人文件；計算機旁邊放置危險物品；信息安全的主要威脅4：（人為因素）*40人為錯誤，比如使用不信息安全的主要威脅5：（自然因素）*41火山爆發(fā)、地震洪水雷擊信息安全的主要威脅5：（自然因素）*41火山爆發(fā)、地震洪水雷二、信息安全問題產(chǎn)生的根源另外，信息系統(tǒng)本身存在著脆弱性，也是導致信息安全問題的主要原因思考：信息系統(tǒng)安全問題能否避免？*42二、信息安全問題產(chǎn)生的根源另外，信息系統(tǒng)本身存在著脆弱性，思今日議題一、信息安全相關概念二、信息安全問題產(chǎn)生的根源三、如何保障信息系統(tǒng)安全*43今日議題一、信息安全相關概念二、信息安全問不妨換個思維從《動物園的袋鼠》的故事說起……

*44一天，動物園的管理員突然發(fā)現(xiàn)袋鼠從圍欄里跑了出來了，經(jīng)過分析，大家一致認為：袋鼠之所以能跑出來完全是因為圍欄太低了。所以決定將圍欄加高。沒想到，第二天袋鼠還能跑出來，于是，圍欄被繼續(xù)加高。但是，令這些管理員們驚恐萬分的是，無論圍欄加高多少，袋鼠們都會在第二天跑出來，領導們一不做二不休，安裝了最先進的監(jiān)控設備，輪流值班，24小時守著這些白天看起來特別聽話的袋鼠。終于，他們發(fā)現(xiàn)了問題所在，真正的“罪魁禍首”是管理員忘記鎖上的門。不妨換個思維從《動物園的袋鼠》的故事說起……*44一天，動物另眼看信息安全信息安全除了是故事中的圍欄之外，還是那道千萬別忘記關的門，還有那顆別忘了關門的心———安全意識*45另眼看信息安全信息安全除了是故事中的圍欄之外，*45安全意識就是能夠認知可能存在的安全問題，明白安全事故對組織的危害，恪守正確的行為方式，并且清楚在安全事故發(fā)生時所應采取的措施。*46什么是安全意識安全意識*46什么是安全意識三、如何保證信息系統(tǒng)安全*47三、如何保證信息系統(tǒng)安全*47信息安全的實現(xiàn)物理安全48三、如何保證信息系統(tǒng)安全建立物理安全區(qū)域概念；主動學習了解限制區(qū)域和普通區(qū)域，熟悉在不同區(qū)域自己的權限；在公司里佩戴員工卡做身份標識；前來拜訪的外來人員應做身份驗證（登記），見到未佩戴身份識別卡的人應主動詢問；離開座位要清空屏幕與桌面。*48信息安全的實現(xiàn)物理安全48三、如何保證信息系統(tǒng)安全建立物理與物理安全相關的案例情況是這樣的……A公司的數(shù)據(jù)中心是重地，設立了嚴格的門禁制度，要求必須插入門卡才能進入。不過，出來時很簡單，數(shù)據(jù)中心一旁的動作探測器會檢測到有人朝出口走去，門會自動打開數(shù)據(jù)中心有個系統(tǒng)管理員張三君，這天晚上加班到很晚，中間離開數(shù)據(jù)中心出去夜宵，可返回時發(fā)現(xiàn)自己被鎖在了外面，門卡落在里面了，四周別無他人，一片靜寂張三急需今夜加班，可他又不想打擾他人，怎么辦？*49與物理安全相關的案例情況是這樣的……A公一點線索：昨天曾在接待區(qū)慶祝過某人生日，現(xiàn)場還未清理干凈，遺留下很多雜物，哦，還有氣球……*50一點線索：*50聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②張三面朝大門入口趴下來，把氣球塞進門里，只留下氣球的嘴在門的這邊③張三在門外吹氣球，氣球在門內(nèi)膨脹，然后，他釋放了氣球……④由于氣球在門內(nèi)彈跳，觸發(fā)動作探測器，門終于開了*51聰明的張三想出了妙計……①張三找到一個氣球，放掉氣②問題出在哪里……

如果門和地板齊平且沒有縫隙，就不會出這樣的事

如果動作探測器的靈敏度調(diào)整到不對快速放氣的氣球作出反應，也不會出此事

當然，如果根本就不使用動作探測器來從里面開門，這種事情同樣不會發(fā)生*52問題出在哪里……如果門和地板齊平且沒有縫隙，就不會出這總結(jié)教訓……

雖然是偶然事件，也沒有直接危害，但是潛在風險既是物理安全的問題，更是管理問題切記！有時候自以為是的安全，恰恰是最不安全！物理安全非常關鍵！*53總結(jié)教訓……雖然是偶然事件，也沒有直接危害，但是潛在風計算機與網(wǎng)絡使用安全54三、如何保證信息系統(tǒng)安全信息安全的實現(xiàn)物理安全對個人用計算機要設置帳戶密碼；妥善保護自己的密碼，不要將自己的密碼告訴別人；加強對計算機信息保護，離開機器時要及時對機器鎖屏；計算機防病毒軟件，經(jīng)常升級病毒庫；加強對移動計算機的安全保護，防止丟失；重要文件做好備份。*54計算機與網(wǎng)絡使用安全54三、如何保證信息系統(tǒng)安全信息安全的什么樣的口令是比較脆弱的？

少于8個字符單一的字符類型，例如只用小寫字母，或只用數(shù)字用戶名與口令相同最常被人使用的弱口令：自己、家人、朋友、親戚、寵物的名字生日、結(jié)婚紀念日、電話號碼等個人信息工作中用到的專業(yè)術語，職業(yè)特征字典中包含的單詞，或者只在單詞后加簡單的后綴所有系統(tǒng)都使用相同的口令口令一直不變*55什么樣的口令是比較脆弱的？少于8個字符*55*56“弱口令”很容易被破解*56“弱口令”很容易被破解口令安全建議

應該設置強口令口令應該經(jīng)常更改，比如30天不同的系統(tǒng)或場所應使用不同的口令一定要即刻更改系統(tǒng)的缺省或初始化口令不要與任何人共享你的口令不要把口令寫在紙上不要把口令存儲在計算機文件中輸入口令時嚴防有人偷看如果有人在電話中向你索取口令，拒絕后立即報告如果發(fā)覺有人獲知你的口令，立即改變它*57口令安全建議應該設置強口令*57文件信息安全58三、如何保證信息系統(tǒng)安全計算機與網(wǎng)絡使用安全信息安全的實現(xiàn)物理安全文件分類分級；重要文件妥善保存；未經(jīng)授權不得將文件傳遞給他人尤其是公司外的人；打印好的文件及時收走；使用過的重要文件及時銷毀，不要扔在廢紙簍里，也不要重復利用。*58文件信息安全58三、如何保證信息系統(tǒng)安全計算機與網(wǎng)絡使用安文件信息安全59三、如何保證信息系統(tǒng)安全計算機與網(wǎng)絡使用安全信息安全的實現(xiàn)物理安全溝通交流安全不在電話中說工作敏感信息，電話回叫要確認身份；不通過Email傳輸敏感信息，如要通過EMAIL最好加密以后再傳輸；不在安全得不到保障的公共場合談論敏感信息；防止信息竊??；不隨意下載安裝軟件，防止惡意程序、病毒及后門等黑客程序；不隨意打開可執(zhí)行的郵件附件，如.EXE,.BAT,.VBS,.COM,.PIF,.CMD,打開附件時最好進行病毒檢查。*59文件信息安全59三、如何保證信息系統(tǒng)安全計算機與網(wǎng)絡使用安

三、如何保證信息系統(tǒng)安全防范社會工程學攻擊社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法.步驟：信息收集——信任建立——反追查典型攻擊方式：環(huán)境滲透、身份偽造、冒名電話、信件偽造等如何防范？*60三、如何保證信息系統(tǒng)安全防范社會工程學攻擊*60三、如何保證信息系統(tǒng)安全如何防范？仔細身份審核；（多重身份認證、來電顯示確認、電話回撥、EMAIL簽名、動態(tài)密碼驗證、身份ID卡、上級領導擔保等）嚴格執(zhí)行操作流程審核；完善日志審計記錄；完善應對措施，及時上報；注重保護個人隱私；不要把任何個人和公司內(nèi)部信息或是識別標識告訴他人，除非你聽出她或他的聲音是熟人，并確認對方有這些信息的知情權。無論什么時候在接受一個陌生人詢問時，首先要禮貌的拒絕，直到確認對方身份。*61三、如何保證信息系統(tǒng)安全如何防范？*61趣味游戲----找錯在忙碌的辦公室中，跟隨著攝像機鏡頭，拍攝下辦公室內(nèi)所存在的安全隱患。其中包括：*62趣味游戲----找錯在忙碌的辦公室中，跟隨著攝像機鏡頭，拍攝趣味游戲----找錯中午大家吃飯去了，在桌子上，手機與錢包放在上面；一個沒有人的桌子上，一臺電腦正在從黑客網(wǎng)站上下載著一個被破解的軟件；旁邊的打印機和復印機旁散落著不少帶字的紙張；大開的項目經(jīng)理辦公室中，沒有其他人在，一名澆花工人正在里面澆花；會議室內(nèi)的白板上有上次會議留下的相關內(nèi)容的記錄；一些滿是字跡的紙張在垃圾桶中冒出一個角；手提電腦放在桌子上；訪問客戶網(wǎng)絡的VPN密碼寫在小紙